Les contrôles de détection

Last reviewed 2023-12-20 UTC

Les fonctionnalités de détection et de surveillance des menaces sont fournies à l'aide d'une combinaison de contrôles de sécurité intégrés de Security Command Center et de solutions personnalisées qui vous permettent de détecter les événements de sécurité et d'y répondre.

Journalisation centralisée pour la sécurité et l'audit

Le plan configure les fonctionnalités de journalisation pour suivre et analyser les modifications apportées à vos ressources Google Cloud à l'aide de journaux agrégés dans un seul projet.

Le schéma suivant montre comment le plan agrège les journaux provenant de plusieurs sources dans plusieurs projets dans un récepteur de journaux centralisé.

Structure de journalisation pour example.com.

Le schéma décrit les éléments suivants:

Les récepteurs de journaux sont configurés au niveau du nœud d'organisation pour agréger les journaux de tous les projets dans la hiérarchie des ressources.
Plusieurs récepteurs de journaux sont configurés pour envoyer les journaux correspondant à un filtre vers différentes destinations pour le stockage et l'analyse.
Le projet prj-c-logging contient toutes les ressources associées au stockage et à l'analyse des journaux.
Vous pouvez éventuellement configurer des outils supplémentaires pour exporter les journaux vers une solution SIEM.

Le plan utilise différentes sources de journal et inclut ces journaux dans le filtre du récepteur de journaux, afin que ceux-ci puissent être exportés vers une destination centralisée. Le tableau suivant décrit les sources du journal.

Source de journal	Description
Journaux d'audit pour les activités d'administration	Vous ne pouvez pas configurer, désactiver ni exclure les journaux d'audit des activités d'administration.
Journaux d'audit des événements système	Vous ne pouvez pas configurer, désactiver ni exclure les journaux d'audit des événements système.
Journaux d'audit des refus de règles	Vous ne pouvez pas configurer ni désactiver les journaux d'audit des refus de règles, mais vous pouvez éventuellement les exclure à l'aide de filtres d'exclusion.
Journaux d'audit des accès aux données	Par défaut, le plan n'active pas les journaux d'accès aux données, car leur volume et leur coût peuvent être élevés. Pour déterminer si vous devez activer les journaux d'accès aux données, évaluez l'emplacement de vos charges de travail dans les données sensibles et déterminez si vous devez activer les journaux d'accès aux données pour chaque service et environnement utilisant des données sensibles.
Journaux de flux VPC	Le plan permet d'activer les journaux de flux VPC pour chaque sous-réseau. Le plan configure l'échantillonnage de journal pour échantillonner 50% des journaux afin de réduire les coûts. Si vous créez des sous-réseaux supplémentaires, vous devez vous assurer que les journaux de flux VPC sont activés pour chaque sous-réseau.
Journalisation des règles de pare-feu	Le plan active la journalisation des règles de pare-feu pour chaque règle de stratégie de pare-feu. Si vous créez des règles de stratégie de pare-feu supplémentaires pour les charges de travail, vous devez vous assurer que la journalisation des règles de pare-feu est activée pour chaque nouvelle règle.
Journalisation Cloud DNS	Le plan permet d'activer les journaux Cloud DNS pour les zones gérées. Si vous créez des zones gérées supplémentaires, vous devez activer ces journaux DNS.
Journaux d'audit Google Workspace	Nécessite une étape d'activation unique qui n'est pas automatisée par le plan. Pour en savoir plus, consultez la page Partager des données avec les services Google Cloud.
Journaux Access Transparency	Nécessite une étape d'activation unique qui n'est pas automatisée par le plan. Pour plus d'informations, consultez Activer Access Transparency.

Le tableau suivant décrit les récepteurs de journaux et leur utilisation avec les destinations compatibles dans le plan.

Sink	Destination	Objectif
`sk-c-logging-la`	Journaux acheminés vers des buckets Cloud Logging avec Log Analytics et un ensemble de données BigQuery associé activé	Analysez activement les journaux. Exécutez des enquêtes ad hoc à l'aide de l'explorateur de journaux de la console, ou écrivez des requêtes, des rapports et des vues SQL à l'aide de l'ensemble de données BigQuery associé.
`sk-c-logging-bkt`	Journaux acheminés vers Cloud Storage	Stockez les journaux à long terme à des fins de conformité, d'audit et de suivi des incidents. Si vous devez respecter des exigences de conformité concernant la conservation obligatoire des données, nous vous recommandons de configurer également le verrou de bucket.
`sk-c-logging-pub`	Journaux acheminés vers Pub/Sub	Exportez les journaux vers une plate-forme externe telle que votre SIG existant. Cela nécessite un travail supplémentaire à intégrer à votre SIEM, tels que les mécanismes suivants: Pour de nombreux outils, l'intégration tierce à Pub/Sub est la méthode recommandée pour ingérer les journaux. Pour Google Chronicle, vous pouvez ingérer des données Google Cloud dans Chronicle sans provisionner d'infrastructure supplémentaire. Pour Splunk, vous pouvez diffuser des journaux depuis Google Cloud vers Splunk à l'aide de Dataflow.

Sink

Destination

Objectif

sk-c-logging-la

Journaux acheminés vers des buckets Cloud Logging avec Log Analytics et un ensemble de données BigQuery associé activé

Analysez activement les journaux. Exécutez des enquêtes ad hoc à l'aide de l'explorateur de journaux de la console, ou écrivez des requêtes, des rapports et des vues SQL à l'aide de l'ensemble de données BigQuery associé.

sk-c-logging-bkt

Journaux acheminés vers Cloud Storage

Stockez les journaux à long terme à des fins de conformité, d'audit et de suivi des incidents.

Si vous devez respecter des exigences de conformité concernant la conservation obligatoire des données, nous vous recommandons de configurer également le verrou de bucket.

sk-c-logging-pub

Journaux acheminés vers Pub/Sub

Exportez les journaux vers une plate-forme externe telle que votre SIG existant.

Cela nécessite un travail supplémentaire à intégrer à votre SIEM, tels que les mécanismes suivants:

Pour de nombreux outils, l'intégration tierce à Pub/Sub est la méthode recommandée pour ingérer les journaux.
Pour Google Chronicle, vous pouvez ingérer des données Google Cloud dans Chronicle sans provisionner d'infrastructure supplémentaire.
Pour Splunk, vous pouvez diffuser des journaux depuis Google Cloud vers Splunk à l'aide de Dataflow.

Pour savoir comment activer des types de journaux supplémentaires et écrire des filtres de récepteur de journaux, consultez la page Outil de champ d'application des journaux.

Surveillance des menaces avec Security Command Center

Nous vous recommandons d'activer Security Command Center Premium pour détecter les menaces, les failles et les erreurs de configuration dans vos ressources Google Cloud. Security Command Center crée des résultats de sécurité à partir de plusieurs sources, telles que les suivantes:

Security Health Analytics: détecte les failles courantes et les erreurs de configuration des ressources Google Cloud.
Exposition du chemin d'attaque: affiche un chemin simulé d'exploitation d'une ressource à forte valeur ajoutée en fonction des failles et des erreurs de configuration détectées par d'autres sources Security Command Center.
Event Threat Detection: applique la logique de détection et les renseignements propriétaires sur les menaces à vos journaux pour identifier les menaces en quasi-temps réel.
Container Threat Detection: détecte les attaques courantes d'exécution de conteneurs.
Virtual Machine Threat Detection: détecte les applications potentiellement malveillantes qui s'exécutent sur des machines virtuelles.
Web Security Scanner: analyse les failles principales du modèle OWASP dans vos applications Web sur Compute Engine, App Engine ou Google Kubernetes Engine.

Pour en savoir plus sur les failles et les menaces traitées par Security Command Center, consultez la page Sources Security Command Center.

Vous devez activer Security Command Center après avoir déployé le plan. Pour obtenir des instructions, consultez la page Activer Security Command Center pour une organisation.

Une fois que vous avez activé Security Command Center, nous vous recommandons d'exporter les résultats générés par Security Command Center vers vos outils ou processus existants afin de trier les menaces et d'y répondre. Le plan crée le projet prj-c-scc avec un sujet Pub/Sub à utiliser pour cette intégration. Selon vos outils existants, utilisez l'une des méthodes suivantes pour exporter les résultats:

Si vous utilisez la console pour gérer les résultats de sécurité directement dans Security Command Center, configurez des rôles au niveau du dossier et du projet pour que Security Command Center puisse afficher et gérer les résultats de sécurité uniquement pour les projets pour lesquels ils sont responsables.
Si vous utilisez Chronicle comme solution SIEM, ingérez les données Google Cloud dans Chronicle.
Si vous utilisez un outil SIEM ou SOAR avec des intégrations à Security Command Center, partagez les données avec Cortex XSOAR, Elastic Stack, ServiceNow, Splunk ou QRadar.
Si vous utilisez un outil externe permettant d'ingérer des résultats de Pub/Sub, configurez des exportations continues vers Pub/Sub et configurez vos outils existants pour ingérer les résultats de sujet Pub/Sub.

Créer des alertes sur les métriques basées sur les journaux et les métriques de performances

Lorsque vous commencez à déployer des charges de travail sur une base, nous vous recommandons d'utiliser Cloud Monitoring pour mesurer les métriques de performances.

Le plan crée un projet de surveillance tel que prj-p-monitoring pour chaque environnement. Ce projet est configuré en tant que projet de champ d'application pour collecter des métriques de performances agrégées sur plusieurs projets. Le plan déploie un exemple avec des métriques basées sur les journaux et une règle d'alerte pour générer des notifications par e-mail en cas de modification de la stratégie IAM appliquée aux buckets Cloud Storage. Cela permet de surveiller les activités suspectes sur des ressources sensibles telles que le bucket du projet prj-b-seed contenant l'état Terraform.

Plus généralement, vous pouvez également utiliser Cloud Monitoring pour mesurer les métriques de performances et l'état de vos applications de charge de travail. Selon la responsabilité opérationnelle liée à la compatibilité et à la surveillance des applications dans votre organisation, vous pouvez créer des projets de surveillance plus précis pour différentes équipes. Utilisez ces projets de surveillance pour afficher les métriques de performances, créer des tableaux de bord d'état de l'application et déclencher des alertes lorsque votre SLO attendu n'est pas atteint.

Le diagramme suivant montre une vue d'ensemble de l'agrégation des métriques de performances par Cloud Monitoring.

Surveillance des performances

Pour obtenir des conseils sur la surveillance efficace de la fiabilité et de la disponibilité des charges de travail, consultez le Livre sur l'ingénierie en fiabilité des sites de Google, en particulier le chapitre sur la surveillance distribuée.

Solution personnalisée pour l'analyse automatisée des journaux

Vous devrez peut-être créer des alertes pour les événements de sécurité basés sur des requêtes personnalisées sur les journaux. Les requêtes personnalisées peuvent compléter les fonctionnalités de votre solution SIEM en analysant les journaux sur Google Cloud et en n'exportant que les événements qui méritent une enquête, en particulier si vous ne disposez pas de la capacité nécessaire pour exporter tous les journaux cloud vers votre SIEM.

Le plan permet d'activer cette analyse de journaux en configurant une source centralisée de journaux que vous pouvez interroger à l'aide d'un ensemble de données BigQuery associé. Pour automatiser cette fonctionnalité, vous devez mettre en œuvre l'exemple de code sur bq-log-alerting et étendre les fonctionnalités de base. L'exemple de code vous permet d'interroger régulièrement une source de journal et d'envoyer un résultat personnalisé à Security Command Center.

Le diagramme suivant présente le flux général de l'analyse automatisée des journaux.

Analyse automatisée de la journalisation.

Le schéma montre les concepts suivants de l'analyse automatisée des journaux:

Les journaux provenant de diverses sources sont agrégés dans un bucket de journaux centralisé contenant des analyses de journaux et un ensemble de données BigQuery associé.
Les vues BigQuery sont configurées pour interroger les journaux de l'événement de sécurité que vous souhaitez surveiller.
Cloud Scheduler envoie un événement à un sujet Pub/Sub toutes les 15 minutes et déclenche Cloud Functions.
Cloud Functions interroge les vues pour détecter de nouveaux événements. S'il trouve des événements, il les transmet à Security Command Center en tant que résultats personnalisés.
Security Command Center publie des notifications sur les nouveaux résultats dans un autre sujet Pub/Sub.
Un outil externe tel qu'une solution SIEM s'abonne au sujet Pub/Sub pour ingérer de nouveaux résultats.

L'exemple comporte plusieurs cas d'utilisation pour interroger un comportement potentiellement suspect. Il peut s'agir d'une connexion provenant d'une liste de super-administrateurs ou d'autres comptes hautement privilégiés que vous spécifiez, de modifications des paramètres de journalisation ou de modifications des routes réseau. Vous pouvez étendre les cas d'utilisation en écrivant de nouvelles vues de requête en fonction de vos besoins. Rédigez vos propres requêtes ou référencez les analyses des journaux de sécurité d'une bibliothèque de requêtes SQL pour vous aider à analyser les journaux Google Cloud.

Solution personnalisée pour répondre aux modifications d'éléments

Pour répondre aux événements en temps réel, nous vous recommandons d'utiliser l'inventaire des éléments cloud afin de surveiller les modifications des éléments. Dans cette solution personnalisée, un flux d'éléments est configuré pour déclencher des notifications à Pub/Sub concernant les modifications apportées aux ressources en temps réel. Ensuite, Cloud Functions exécute un code personnalisé pour appliquer votre propre logique métier, selon que la modification doit être autorisée.

Le plan contient un exemple de cette solution de gouvernance personnalisée qui surveille les modifications IAM qui ajoutent des rôles très sensibles, tels que "Administrateur de l'organisation", "Propriétaire" et "Éditeur". Le schéma suivant décrit cette solution.

Annuler automatiquement une modification de stratégie IAM et envoyer une notification

Le schéma précédent illustre ces concepts:

Des modifications sont apportées à une stratégie d'autorisation.
Le flux d'inventaire des éléments cloud envoie une notification en temps réel concernant la modification de la stratégie d'autorisation à Pub/Sub.
Pub/Sub déclenche une fonction.
Cloud Functions exécute du code personnalisé pour appliquer votre stratégie. L'exemple de fonction dispose d'une logique permettant de déterminer si la modification a ajouté les rôles "Administrateur de l'organisation", "Propriétaire" ou "Éditeur" à une stratégie d'autorisation. Si tel est le cas, la fonction crée un résultat de sécurité personnalisé et l'envoie à Security Command Center.
Vous pouvez éventuellement utiliser ce modèle pour automatiser les mesures correctives. Écrivez une logique métier supplémentaire dans Cloud Functions pour agir automatiquement sur le résultat, par exemple rétablir la stratégie d'autorisation à son état précédent.

En outre, vous pouvez étendre l'infrastructure et la logique utilisées par cet exemple de solution pour ajouter des réponses personnalisées à d'autres événements importants pour votre entreprise.

Étapes suivantes

Découvrez les contrôles préventifs (document suivant de cette série).